

#### PATENT ABSTRACTS OF JAPAN

(11) Publication number: 11212456 A

(43) Date of publication of application: 06.08.99

(51) Int. CI

G09C 1/00 G06F 7/72 H04L 9/30

(21) Application number: 10014681

(22) Date of filing: 27.01.98

(71) Applicant:

**FUJITSU LTD** 

(72) Inventor:

TAKENAKA MASAHIKO

то коюні **TORII NAOYA** 

## (54) MULTIPLICATION REMAINDER CALCULATION **DEVICE USING MONTGOMERY METHOD**

#### (57) Abstract:

PROBLEM TO BE SOLVED: To provide a calculation device which simplifies the constitution of a product sum circuit and permits pipeline processing and uses a Montgomery algorithm to quickly perform multiplication remainder calculation.

SOLUTION: A product sum circuit 21 multiplies outputs of an A register 3 and a B register 4 and adds outputs of a c3 register 26 and a Y register 5 to the multiplication result. A product sum circuit 22 multiplies outputs of an N register 7 and an m register 8 and adds outputs of a c4 register 29 and the product sum circuit 21 to the multiplication result. Registers 26 and 29 for carry in two product sum circuits 21 and 22 are provided independently of each other, and carry is returned to the corresponding product sum circuit. All the processing is performed in a processing unit (k bits). The next operation of the product sum circuit 21 can be performed during the operation of the product sum circuit 22.

# COPYRIGHT: (C)1999,JPO



|      | 1, |   | ≖ - |
|------|----|---|-----|
|      |    |   | 4   |
|      |    |   |     |
|      |    |   |     |
|      |    | • |     |
|      | •  |   |     |
|      |    |   |     |
|      |    |   |     |
|      | •  | • |     |
|      |    |   |     |
|      |    |   |     |
|      | •  | • |     |
|      |    |   |     |
|      |    | • | •   |
|      |    |   |     |
|      |    |   |     |
| *    |    | · |     |
|      | •  |   |     |
|      |    |   |     |
|      |    |   | •   |
|      |    | • |     |
|      |    |   | •   |
|      |    |   |     |
|      | ,  |   |     |
|      |    |   |     |
|      |    |   |     |
|      |    |   |     |
|      |    |   |     |
|      |    |   | *   |
|      |    |   |     |
|      |    |   |     |
|      | •  |   |     |
|      |    |   |     |
|      | •  |   |     |
|      |    |   |     |
|      |    |   |     |
|      |    |   |     |
|      |    |   | •   |
|      |    |   |     |
|      |    |   |     |
|      |    | · |     |
|      |    | • |     |
|      |    |   |     |
|      |    | • |     |
|      |    | • |     |
|      |    |   |     |
| * ** |    | · |     |
|      |    |   |     |
|      |    |   | ,   |

【図12】

【図13】







[図8]

【図11】



[図5]

本発明の乗算期余計算装置(第2発明)の動作説明図 /



【図9】

# コア後処理を行うための構成図



# 【図7】



【図3】

【図4】

本発明の乗算剩余計算装置(第2発明)の構成図

# 本発明の乗算剰余計算装置(第1発明)の動作説明図





[図6] モンゴメリ法による乗算剰余処理の一例を示すフローチャート

【図10】

# 積和回路の構成図





フローチャートである。

【図7】コア前処理を行うための構成図である。

【図8】コア処理を行うための構成図である。

【図9】コア後処理を行うための構成図である。

【図10】積和回路の構成図である。

【図11】従来の乗算剰余計算装置の構成図である。

【図12】従来の積和回路の構成図である。

【図13】従来の乗算剰余計算装置の動作説明図である。

## 【符号の説明】

- 1 第1積和回路
- 2 第2積和回路

## 【図1】

# 本発明の乗算剰余計算装置(第1発明)の構成図



- 3 Aレジスタ
- 4 Bレジスタ
- 5 Yレジスタ
- c1 レジスタ
- 7 Nレジスタ
- 8 mレジスタ
- 9 c2 レジスタ
- 10 加算回路。
- 21 第3積和回路
- 22 第4積和回路
- 26 c3 レジスタ
- 29 c4 レジスタ

## [図2]

# 積和回路の構成図





ビットをc3 レジスタ26に格納し、下位32ビットを第3 積和回路21とパラメータmを計算するための乗算回路32 とへ出力する。乗算回路32は、第3積和回路21の出力と レジスタ31の出力n'0 とを乗算し、その乗算結集の下 位32ビットをmレジスタへに出力する。

【0073】第4積和回路22は、Nレジスタ7からの入力n0とmレジスタ8の値とを乗算し、その乗算結果と第3積和回路21からの出力とを加算する。なお、コア処理と同じ積和回路を使用する場合は、更にその結果と0とを加算する。そして、結果の上位32ビットをc4レジスタ29に格納する。下位32ビットは使用しない。

【0074】(コア処理)図8は、iループ内部処理であるコア処理を行う構成の一例を示す図である。Yレジスタ5は前回の処理結果の保持及び今回の処理結果の出カ用レジスタである。選択回路11は、(アルゴリズム3)でY=0の処理に相当するものである。

【0075】第3積和回路21は、まず、Aレジスタ3、Bレジスタ4からの入力ai、bjを乗算し、その乗算結果とYレジスタ5からの入力yiとを加算し、更にその加算結果とc3 レジスタ26の値とを加算する。そして、結果の上位32ビットをc3レジスタ26に格納し、下位32ビットを第4積和回路22へ出力する。

【0076】第4積和回路22は、まず、Nレジスタフからの入力 $n_i$ とmレジスタ8の値とを乗算し、その乗算結果と第3積和回路21からの出力とを加算し、更にその加算結果とc4 レジスタ29の値とを加算する。そして、結果の上位32ビットをc4 レジスタ29に格納し、下位32ビットをc4 レジスタ29に格納する。(アルゴリズム3)のc4 の処理は、c4 回目の計算結果をc4 に格納することで実現している。

【0077】(コア後処理)図9は、コア後処理を行う構成の一例を示す図である。33はc3 レジスタ26の出力とc4 レジスタ29の出力と選択回路11の出力とを加算する加算回路、34は加算回路33からのキャリー出力を0.1と比較し、0であれば0を、1であれば1を、Yレジスタ5へ出力する選択回路である。

【0078】このコア後処理では、コア処理終了後のキャリー変数 c3 、c4 の値の処理を行っている。 c3 レジスタ26、c4 レジスタ29の値及び Y レジスタ 5 からの入力 y 32 を加算回路33に入力し、その加算結果を Y レジスタ 5 の y 31 に出力し、キャリーを処理単位である32 ビットの値に変換して Y レジスタ 5 の y 32 に出力する。 ここで、出力からもわかるように、 y 32 の値は Y レジスタ 5 では32 ビットとして扱われているが、実際は 1 ビットの値であるので、加算結果は32 ビット+キャリーの範囲で収まる。

【0079】(積和回路の構成)図10は、上述の構成例で用いた積和回路の構成の一例を示す図である。ここでは、全ての処理単位を32ビットになるように構成している。積和回路は、1個の32ビット乗算器41と、4個の32

ビット加算器42, 43, 44, 45とを有する。

【0080】A. Bの入力値は32ビット乗算器41で乗算され、上位32ビットと下位32ビットとの2つで出力される。32ビット加算器43は、32ビット乗算器41の出力下位32ビットと入力Rの値とを加算し、その加算結果の出力32ビットを32ビット加算器42へそれぞれ出力する。32ビット加算器42は、32ビット乗算器41の出力上位32ビットと32ビット加算器43のキャリー出力とを加算し、その加算結果の出力32ビットを32ビット加算器44へ出力する。この加算ではキャリーが発生しないことが理論的に証明されている。

【〇〇81】32ビット加算器45は、32ビット加算器43の出力と入力Cの値とを加算し、その加算結果の出力32ビットは積和回路のし出力(下位32ビット)となり、キャリーは32ビット加算器44へ出力される。32ビット加算器44は、32ビット加算器42の出力と32ビット加算器45のキャリー出力とを加算し、その加算結果の出力32ビットは積和回路の日出力(上位32ビット)となる。この加算ではキャリーが発生しないことが理論的に証明されている。

【0082】なお、本発明の乗算剰余計算装置は、ハードウェアに限らず、同様の機能構成の少なくとも一部をソフトウェアで実現することもでき、そのような場合にも処理の高速化を達成することができる。例えば、ソフトウェアで第2発明の乗算剰余計算装置を実現し、パイプライン処理が可能な32ビットプロセッサ上で実行した場合、乗算剰余処理時間を比較すれば、従来の方式の約半分の時間で処理が可能となり、その効果が明らかである。

#### [0083]

【発明の効果】以上説明したように、第1, 第2発明によれば、モンゴメリ法を用いた乗算剰余計算について、全ての処理を処理単位内で行えるので、DSP, マイクロコントローラ等の上のソフトウェアとして実現が容易になる。

【 O O 8 4 】また、第 2 発明によれば、キャリー伝搬を各積和毎に制限でき、一方の積和処理中にもう一方の積和処理も可能となるので、パイプライン処理などによって、高速に乗算剰余計算を行うことが可能である。

#### 【図面の簡単な説明】

【図1】本発明の乗算剰余計算装置(第1発明)の構成 図である。

【図2】積和回路の構成図である。

【図3】本発明の乗算剰余計算装置(第1発明)の動作 説明図である。

【図4】本発明の乗算剰余計算装置(第2発明)の構成 図である。

【図5】本発明の乗算剰余計算装置(第2発明)の動作 説明図である。

【図6】モンゴメリ法による乗算剰余処理の一例を示す

 $(c4. c3)_r = c3 + c4 + yg$   $y_{g-1} = c3$   $y_g = c4$ next j if  $Y \ge N$  then Y = Y - NY < N then return Y

【0063】図4は、上述したアルゴリズム6のコア処理を実行する乗算剰余計算装置の構成図である。図4に示す乗算剰余計算装置は、内部で乗算及び加算を行う第3積和回路21及び第4積和回路22と、図1に示すものと同様の第1レジスタとしてのAレジスタ3、第2レジスタとしてのBレジスタ4、第3レジスタとしてのYレジスタ5、第5レジスタとしてのNレジスタ7、第6レジスタとしてのmレジスタとしてのC3レジスタ26と、キャリー変数 c4 を保持する第7レジスタとしてのc4 レジスタ29とを有する。

【0064】なお、第3積和回路21及び第4積和回路22の内部構成は、図2(a)に示す第1積和回路1の内部構成と同じであり、各積和回路21及び22は、 k ビット乗算器101 と2kビット加算器103 とから構成されている。

【〇〇65】第3積和回路21の k ビット乗算器101 は、A レジスタ3及びB レジスタ4からの出力を乗算し、2k ビット加算器102 は、k ビット乗算器101 の出力と選択回路11 (Y レジスタ5) の出力とを加算し、2k ビット加算器103 は、2k ビット加算器102 の出力とc3 レジスタ26の出力とを加算する。なお、図2(a)に示す構成例では、乗算結果に選択回路11 (Y レジスタ5)の出力を先に加算し、その後にc3 レジスタ26の出力を加算するようになっているが、これとは逆に、先にc3レジスタ26の出力、その後に選択回路11 (Y レジスタ5)の出力を加算するように構成しても良い。

【0066】一方、第4積和回路22のkビット乗算器101は、Nレジスタ7及びmレジスタ8からの出力を乗算し、2kビット加算器102は、kビット乗算器101の出力と第3積和回路21からの下位kビットの出力とを加算し、2kビット加算器103は、2kビット加算器102の出力とc4レジスタ29の出力とを加算する。なお、図2

(a) に示す構成例では、乗算結果に第3積和回路21からの下位 k ビットの出力を先に加算し、その後に c 4 レジスタ29の出力を加算するようになっているが、これとは逆に、先に c 4 レジスタ29の出力、その後に第3積和回路21からの下位 k ビットの出力を加算するように構成しても良い。

【0067】図5は、アルゴリズム6のコア処理の内容を示す説明図である。第3積和回路21内にて、Aレジスタ3の出力a;(kビット)とBレジスタ4の出力bj(kビット)とを乗算し、その乗算結果(2kビット)に、選択回路11(Yレジスタ5)の出力(kビット)と

#### コア後処理

#### 補正処理

c3 レジスタ26の出力(kビット)とを加算する。なお、選択回路11は、jの値とOとを比較し、jの値がOである場合には第3 積和回路21へOを出力し、jの値がOでない場合には第3 Yレジスタ5の格納値yjを積和回路21へ出力する。第3 積和回路21は、その演算結果(2 kビット)の上位 kビットをc3 レジスタ26へ出力し、その下位 kビットを第4 積和回路22へ出力する。c3 レジスタ26は、この kビットを次回の演算用のキャリー変数として格納する。

【 O O 6 8 】 第 4 積和回路22内にて、Nレジスタ7の出力n;(kビット)とmレジスタ8の出力m(kビット)とを乗算し、その乗算結果(2 kビット)に、第 3 積和回路21からの下位 kビット出力を加算する。第 4 積和回路22は、その演算結果(2 kビット)の上位 kビットを c 4 レジスタ29へ出力し、その下位 kビットを Y レジスタ 5 へ出力する。 c 4 レジスタ29は、この kビットを次回の演算用のキャリー変数として格納する。また、Y レジスタ 5 は、その kビットのデータを値 y i-1 として格納する。

【0069】図6は、モンゴメリ法による乗算剰余処理の一例を示すフローチャートである。このフローチャートにおいて、jループが(アルゴリズム3)のループ処理に当たる。jループの内側では、A×bj及びm×Nの多重精度×単精度の部分乗算を行っている。iループは、A×bj及びm×Nの多重精度×単精度の計算を単精度×単精度の部分乗算で行っている部分である。iループの内部ではaj×bjとm×njとの部分乗算を行っている。

【OO7O】次に、第2発明における更なる具体例について説明する。以下の例では、N, A, BOビット長を1024ビット、g=32、処理単位k=32、R=2 1024、r=2 32 とする。

【0071】(コア前処理)図7は、コア前処理を行う構成の一例を示す図である。31はモンゴメリ計算用のパラメータn'0を保持するレジスタ、32は第3積和回路21の出力とレジスタ31の出力とを乗算する乗算回路である

【0072】このコア前処理では、コア処理で使用する c3 レジスタ26、c4 レジスタ29及びmレジスタ8の初期化を行っている。第3積和回路21は、まず、Aレジスタ3、Bレジスタ4からの入力a0、bjを乗算し、その乗算結果とYレジスタ5からの入力yj とを加算する。なお、コア処理と同じ積和回路を使用する場合は、更にその結果と0とを加算する。そして、結果の上位32

示す乗算剰余計算装置は、内部で乗算及び加算を行う第 1積和回路1及び第2積和回路2と、乗算する一方の数 A: (ag-1, ag-2, …, a0) を保持する第1レジ スタとしてのAレジスタ3と、乗算する一方の数B:

(bg-1 . bg-2 . ..., b0) を保持する第2レジスタとしてのBレジスタ4と、第2積和回路2の前回の下位 kビット出力を保持し次回の下位 kビット出力を保持し次回の下位 kビット出力を保持し次回の下位 kビット出力を保持し次回の下位 kビット出力を保持し次回の下位 kビット出力を保持する第4レジスタとしてのc1レジスタ6 と、剰余の法N:(ng-1 . ng-2 . ..., n0))を保持する第5レジスタとしてのNレジスタ7と、モンゴメリアルゴリズムにおけるパラータmを保持する第6レジスタとしてのmレジスタ8と、キャリー変数c2を保持可以の出力を出力に対してのc2レジスタ9と、第1積和回路1の上位 kビット出力、第2積和回路2の上位 kビット出力及びc2レジスタ9の出力を加算するキャリー計算部としての加算回路10と、jの値と0とを比較してその出力を選択する選択回路11とを有する。

【0055】また、第1積和回路1,第2積和回路2の内部構成を図2(a)。(b)に夫々示す。第1積和回路1は、kビット乗算器101 と2kビット加算器102 と2kビット加算器103 とを有する。kビット乗算器101 は、Aレジスタ3及びBレジスタ4からの出力を乗算し、2kビット加算器102 は、kビット乗算器101 の出力と選択回路11(Yレジスタ5)の出力とを加算し、2kビット加算器103 は、2kビット加算器102 の出力とc1 レジスタ6の出力とを加算する。なお、図2(a)に示す構成例では、乗算結果に選択回路11(Yレジスタ5)の出力を先に加算し、その後にc1 レジスタ6の出力を加算するようになっているが、これとは逆に、先にc1 レジスタ6の出力、その後に選択回路11(Yレジスタ5)の出力を加算するように構成しても良い。

【0056】第2積和回路2は、Nレジスタ7及びmレジスタ8からの出力を乗算するドビット乗算器201 と、 ドビット乗算器201 の出力及び第1積和回路1からの下位ドビットの出力を加算する2kビット加算器202 とを有する

【0057】図3は、アルゴリズム5のコア処理の内容を示す説明図である。第1積和回路1内にて、Aレジスタ3の出力ai(kビット)とBレジスタ4の出力bj(kビット)とを乗算し、その乗算結果(2kビット)

に、選択回路11(Yレジスタ5)の出力(kビット)とc1 レジスタ6の出力(kビット)とを加算する。なお、選択回路11は、jの値とOとを比較し、jの値がOである場合には第1積和回路1へOを出力し、jの値がOでない場合にはYレジスタ5の格納値yiを第1積和回路1へ出力する。第1積和回路1は、その演算結果(2kビット)の上位kビットを加算回路10へ出力し、その下位kビットを第2積和回路2へ出力する。

【0058】第2積和回路2内にて、Nレジスタ7の出力n;(kビット)とmレジスタ8の出力(kビット)とを乗算し、その乗算結果(2kビット)に、第1積和回路1からの出力下位kビットを加算する。第2積和回路2は、その演算結果(2kビット)の上位kビットを加算回路10へ出力し、その下位kビットをYレジスタ5へ出力する。Yレジスタ5は、そのkビットのデータを値yi-1として格納する。

【0059】加算回路10は、第1積和回路1からの出力( k ビット)と第2積和回路2からの出力( k ビット)と c 2 レジスタ9からの出力( 1 ビット)とを加算する。そして、次回の演算用として、その加算結果( k + 1 ビット)の上位1 ビットを c 2 レジスタ9へ、その下位 k ビットを c 1 レジスタ6、c 2 レジスタ9は、これを格納する。

【 0 0 6 0 】 (第2発明) キャリー用のレジスタを各積和回路毎に設けた第2発明について説明する。第2発明では、各積和回路におけるキャリー用のレジスタを各別に設けて自身の積和回路にキャリー変数を戻す構成とする。このアルゴリズム6を以下に示す。

【0061】 (アルゴリズム6) 乗算する2数A, B, パラメータN' 出力用変数Yが何れもr進数で、

 $A = (ag-1, ag-2, \cdots, a0)r, \\ B = (bg-1, bg-2, \cdots, b0)r, \\ N' = (n'g-1, n'g-2, \cdots, n'0)r, \\ Y = (yg, yg-1, \cdots, y0)r, \\ R = rg, \\ r = 2k$ 

とあらわされ、 r 進 1 桁の一時変数tmp1、 キャリー変数 c3 、 c4 とする場合、次に示す i 、 j の繰り返し処理 により A B  $R^{-1}$  mod N を単精度 x 単精度の計算として求めることができる。

[0062]

```
Y=0

for j=0 to g-1

    (c3 . tmp1) r; = y0 + aj · bj

    m=tmp1 · n ′ 0 mod r)

    (c4 . tmp1) r = tmp1+m · n0

for i=1 to g-1

    (c3 . tmp1) r = yi + c3 + aj · bj

    (c4 . yi-1) r = tmp1+m · ni

    コア処理

next i
```

和手段とを備え、前記第1積和手段の出力を前記第2積 和手段の入力とする構成を有し、前記第2積和手段が演 算を行う間、前記第1積和手段で次の回の演算を行うよ うに、パイプライン処理すべく構成したことを特徴とす る。

【0046】請求項11に係るモンゴメリ法による乗算剰余計算装置は、請求項10において、前記第1積和手段及び第2積和手段にあって、各自身の上位出力を各自身の次の回のキャリア入力とするようにしたことを特徴とする。

【0047】請求項12に係るモンゴメリ法による乗算剰余計算装置は、請求項10において、前記第1積和手段及び第2積和手段における演算量が等しいことを特徴とする。

【0048】請求項13に係るモンゴメリ法による乗算剰余計算装置は、請求項10において、前記第1積和手段及び第2積和手段は、2つのドビットの数を乗算する手段と、その乗算結果に2つのドビットの数を加算する手段とを有することを特徴とする。

【0049】第1発明の乗算剰余計算装置では、従来例において問題となっている(k+1)ビットのキャリーを上位1ビットと下位kビットとに分離し、その下位kビットは1つのキャリーとして従来例と同様に1つ目の積和回路に戻し、その上位1ビットはもう1つのキャリーとして、キャリー計算用の加算回路に戻す。この構成をとることにより、1つ目の積和回路の構成の単純化を図れる。

【〇〇5〇】第2発明の乗算剰余計算装置では、2つの 積和回路から出力される上位データを加算するのではな く、各積和回路におけるキャリー用のレジスタを各別に 設けて自身の積和回路にキャリーを戻す構成とすることにより、第1発明と同様に1つ目の積和回路の構成の単純化を図れると共に、更に各積和回路のキャリー処理が閉じているので、2つ目の積和回路の動作中に、1つ目の積和回路の次回の動作が可能となる。

#### [0051]

【発明の実施の形態】以下、本発明をその実施の形態を 示す図面を参照して具体的に説明する。

(第1発明) 1つ目の積和回路へのキャリーを k ビットにした第1発明について説明する。第1発明では、1つ目の積和回路の出力と2つ目の積和回路の出力との加算結果である(k+1)ビットのキャリーを上位1ビットと下位 k ビットとに分離し、その下位 k ビットはキャリー変数 c1 として1つ目の積和回路に戻し、その上位1ビットはもう1つのキャリー変数 c2 として、キャリー計算用の加算回路に戻す。この場合のアルゴリズム5を以下に示す。

【0052】 (アルゴリズム5) 乗算する2数A、B、 パラメータN'、出力用変数Yが何れもr進数で、

 $A = (a_{g-1}, a_{g-2}, \dots, a_{0})_{r}, \\ B = (b_{g-1}, b_{g-2}, \dots, b_{0})_{r}, \\ N' = (n'_{g-1}, n'_{g-2}, \dots, n'_{0})_{r}, \\ Y = (y_{g}, y_{g-1}, \dots, y_{0})_{r}, \\ R = r_{g}, \\ R = 2k$ 

[0053]

Y = 0j = 0 to g - 1 $(tmp2, tmp1)_r = y0 + a_i \cdot b_j$  $m = tmp1 \cdot n' \ 0 \mod r$ コア前処理  $(tmp4, tmp1)_r = tmp1 + m \cdot n0$  $(c2, c1)_r = tmp2 + tmp4$ for i = 1 to g - 1 $(tmp2, tmp1)_r = y_i + c1 + a_i \cdot b_i$  $(tmp4, y_{i-1})_r = tmp1 + m \cdot n_i$ コア処理  $(c2, c1)_r = tmp4 + tmp2 + c2$ next i  $(c2, c1)_r = (c2, c1)_r + yg$ コア後処理  $y_{g-1} = c1$ yg = c2next j if  $Y \ge N$  then Y = Y - N補正処理

ここで、()  $_r$  は、括弧内の $_r$  進数  $_1$  桁の変数を多重精度として扱うことを示している。またキャリー変数  $_2$  は  $_r$  進数  $_1$  桁で表現しているが、内容は  $_1$  ピットの値

Y < N then return Y

である。

[0054] 図1は、上述したアルゴリズム5のコア処理を実行する乗算剰余計算装置の構成図である。図1に

演算結果を上位1ビットと下位kビットとに分けて出力 する加算回路と、乗算される2数を保持する第1及び第 2レジスタと、前記第2積和回路の下位 k ビット出力を ~ 保持し、前記第2積和回路のその次の回の下位kビット・ 出力を格納する第3レジスタと、前記加算回路の下位 k ビット出力を保持し、前記加算回路のその次の回の下位 kビット出力を格納する第4レジスタと、剰余の法を保 持する第5レジスタと、モンゴメリのアルゴリズムにお けるパラメータの値を保持する第6レジスタと、前記加 算回路の上位1ビット出力を保持し、前記加算回路のそ の次の回の上位 1 ビット出力を格納する第7 レジスタと を備え、前記第1積和回路は、前記第1及び第2レジス タに保持された2数の所定ビットの値を乗算し、その乗 算結果に前記第3レジスタに保持された数の所定ビット の値及び前記第4レジスタに保持された値を加算する演 算を行い、前記第2積和回路は、前記第5レジスタに保 持された数の所定ビットの値と前記第6レジスタに保持 された値とを乗算し、その乗算結果に前記第1積和回路 の下位 k ビット出力を加算する演算を行い、前記加算回 路は、前記第1積和回路の上位kビット出力と前記第2 積和回路の上位 k ビット出力と前記第7 レジスタに保持 された値とを加算する演算を行うように構成したことを 特徴とする。

【0037】請求項2に係るモンゴメリ法による乗算剰余計算装置は、請求項1において、前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第3レジスタに保持された数の所定ビットの値を加算し、その加算結果に前記第4レジスタに保持された値を加算するように構成したことを特徴とする。

【0038】請求項3に係るモンゴメリ法による乗算剰余計算装置は、請求項1において、前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第4レジスタに保持された値を加算し、その加算結果に前記第3レジスタに保持された数の所定ビットの値を加算するように構成したことを特徴とする。

【0039】請求項4に係るモンゴメリ法による乗算剰余計算装置(第2発明)は、モンゴメリのアルゴリズムを用いて乗算剰余計算を行う装置において、積和演算を行いその演算結果を上位 k ビットと下位 k ビットとに分けて出力する第1積和回路と、積和演算を行いその演算結果を上位 k ビットとに分けて出力する第2積和回路の下位 k ビットとに分けて出力な第2積和回路の下位 k ビット出力を格納する第3レジスタと、前記第1積和回路のその次の回の下位 k ビット出力を保持し、前記第1積和回路のその次の回の上位 k ビット出力を格納する第4レジスタと、剰余の法を保持する第5レジスタと、モンゴメリのアルゴリ

ズムにおけるパラメータの値を保持する第6レジスタと、前記第2積和回路の上位 k ビット出力を保持し、前記第2積和回路のその次の回の上位 k ビット出力を格納する第7レジスタとを備え、前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第3レジスタに保持された数の所定ビットの値及び前記第4レジスタに保持された数の所定ビットの値と前記第5レジスタに保持された数の所定ビットの値と前記第5レジスタに保持された値とを乗算し、その乗算結果に前記第1積和回路の下位 k ビット出力及び前記第7レジスタに保持された値を加算する演算を行うように構成したことを特徴とする。

【0040】請求項5に係るモンゴメリ法による乗算剰余計算装置は、請求項4において、前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第3レジスタに保持された数の所定ビットの値を加算し、その加算結果に前記第4レジスタに保持された値を加算するように構成したことを特徴とする。

【0041】請求項6に係るモンゴメリ法による乗算剰余計算装置は、請求項4において、前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第4レジスタに保持された値を加算し、その加算結果に前記第3レジスタに保持された数の所定ビットの値を加算するように構成したことを特徴とする。

【0042】請求項7に係るモンゴメリ法による乗算剰余計算装置は、請求項4において、前記第2積和回路は、前記第5レジスタに保持された数の所定ビットの値と前記第6レジスタに保持された値とを乗算し、その乗算結果に前記第1積和回路の下位 k ビット出力を加算し、その加算結果に前記第7レジスタに保持された値を加算するように構成したことを特徴とする。

【0043】請求項8に係るモンゴメリ法による乗算剰余計算装置は、請求項4において、前記第2積和回路は、前記第5レジスタに保持された数の所定ビットの値と前記第6レジスタに保持された値とを乗算し、その乗算結果に前記第7レジスタに保持された値を加算し、その加算結果に前記第1積和回路の下位 k ビット出力を加算するように構成したことを特徴とする。

【0044】請求項9に係るモンゴメリ法による乗算剰余計算装置は、請求項4~8の何れかにおいて、前記第2積和回路による演算中に、前記第1積和回路によりその次の回の演算を行うように構成したことを特徴とする

【0045】請求項10に係るモンゴメリ法による乗算剰余計算装置は、暗号化/復号化のためのモンゴンメリ法による乗算剰余計算を行う装置において、乗算演算を行う第1積和手段と、モンゴンメリ剰余演算を行う第2積

【0026】ここで、( ) r は、括弧内の r 進数 1 桁の変数を多重精度として扱うことを示している。 tmp3、c1 は r 進数 1 桁で表現しているが、内容は 1 ビットの値である。出力用変数 Y について、計算に使用する値が y i のとき、出力が y i-1 に格納されるのは、アルゴリズム 3 における Y = Y / r の機能をこれにより実現しているためである。また、便宜上、外側のループを j ループと呼び、 j ループの始めから i ループまでをコア前処理、 i ループの終わりまでをコア後処理と呼ぶこととする。

【0027】図11は、上述したアルゴリズム4のコア処理を実行する乗算剰余計算装置の構成図である。図11に示す乗算剰余計算装置は、内部で乗算及び加算を行う $\alpha$  積和回路51及U  $\beta$  積和回路52と、乗算する一方の数A: (ag-1 , ag-2 , ..., a0)を保持するAレジスタ53と、乗算する一方の数B: (bg-1 , bg-2 , ..., b0)を保持するBレジスタ54と、剰余の法N: (ag-1 , ag-2 , ..., a0)を保持するNレジスタ55と、 $\beta$  積和回路52の出力の下位 ag-1 , ag-2 , ..., ag-1 , ag-

【OO28】また、 $\alpha$ 積和回路51、 $\beta$ 積和回路52の内部構成を図12(a)、(b)に夫々示す。 $\alpha$ 積和回路51は、Aレジスタ53及びBレジスタ54からの出力を乗算するkビット乗算器511と、kビット乗算器511の出力及び選択回路60(Yレジスタ56)の出力を加算する2kビット加算器512と、2kビット加算器512の出力及びCレジスタ59の出力を加算する2k+1ビット加算器513とを有する。 $\beta$ 積和回路52は、Nレジスタ55及びmレジスタ57からの出力を乗算するkビット乗算器521と、kビット乗算器521の出力及び $\alpha$ 積和回路51からの下位 kビットの出力を加算する2kビット加算器522とを有する。

(2k+1 ビット)の上位(k+1) ビットを加算回路 58へ出力し、その下位k ビットを $\beta$  積和回路52へ出力する。

【0031】加算回路58は、 $\alpha$ 積和回路51からの出力 (k+1 ビット)と $\beta$  積和回路52からの出力(k ビット)とを加算し、その加算結果(k+1 ビット)をCレジスタ59へ出力する。Cレジスタ59は、これを格納する。

# [0032] 桁上外的

【発明が解決しようとする課題】上述したような従来の乗算剰余計算装置の構成では、2つの乗算を同一の繰り返しループで行えるが、Cレジスタ59から出力される次ループへのキャリーが(k+1)ビットとなり、そのため  $\alpha$  積和回路51の出力が(2k+1)ビットとなってしまっており、1つ目の積和回路( $\alpha$  積和回路51)の構成を単純化できないという問題がある。

【0033】また、キャリー計算部である加算回路58において、次回演算用のキャリーが2つの $\alpha$ 積和回路51及び $\beta$ 積和回路52での演算結果に基づいて計算されるため、2つ目の積和回路( $\beta$ 積和回路52)での演算が終了しなければ、次回の1つ目の積和回路( $\alpha$ 積和回路51)での演算を行うことができず、処理能率が悪いという問題がある。

【 O O 3 4 】 本発明は斯かる事情に鑑みてなされたものであり、1 つ目の積和回路への次回演算用のキャリーを k ビットにすることにより、積和回路の構成を単純化することができ、また、これにより D S P (Digital Signal Processor)、マイクロコントローラ等の上のソフトウェアとして実現が容易になるモンゴメリ法による乗算剰余計算装置を提供することを目的とする。

【0035】本発明の他の目的は、キャリーの伝搬を各 積和回路でのループ内に押さえることにより、2つの積 和回路での演算を独立して行え、つまり、2つ目の積和 回路での積和を行っている間に1つ目の積和回路で次回 の積和を行え、これによりパイプライン処理が可能にな るモンゴメリ法による乗算剰余計算装置を提供すること にある。

#### [0036]

【課題を解決するための手段】請求項1に係るモンゴメリ法による乗算剰余計算装置(第1発明)は、モンゴメリのアルゴリズムを用いて乗算剰余計算を行う装置において、積和演算を行いその演算結果を上位 k ビットと下位 k ビットとに分けて出力する第1積和回路と、積和演算を行いその演算結果を上位 k ビットと下位 k ビットとに分けて出力する第2積和回路と、加算演算を行いその

る。上記のアルゴリズムにおいて、入力Tは0≦T<R・Nを満たす値であるが、実際のRSA演算では、入力Tが整数A、B(0≦A、B<N)の乗算結果であることが多い。その場合、整数A、Bの乗算も多重精度整数演算であるため、多重精度拡張REDCと同様の繰り返し計算が行われる。この場合、乗算とREDCとを別々に繰り返し計算すると、繰り返し計算制御によるロスが2倍になってしまう。そこで、乗算とREDCとを同一の繰り返しループで行えるように拡張したアルゴリズム3を示す。

【0021】 (アルゴリズム3) REDCを多重精度乗 算剰余へ拡張したアルゴリズムREDC ( $A \times B$ ) は次 に示すようになる。乗算する2数A、B、パラメータ N'、出力用変数Yが何れもr進数で、

A = (ag-1 . ag-2 . ..., a0) r . B = (bg-1 . bg-2 . ..., b0) r . N' = (n'g-1 . n'g-2 . ..., n'0) r . Y = (yg . yg-1 . ..., y0) r . R = rg . r = 2k

とあらわされる場合、次に示す $j = 0 \sim g - 1$  の繰り返し処理により、ABR $^{-1}$ mod Nを多重精度×単精度の計算として求めることができる。

[0022] Y=0for j=0 to g-1  $Y=Y+A\cdot bj$   $m=y0\cdot n'0 \mod r$   $Y=Y+m\cdot N$  Y=Y/rnext if  $Y\ge N$  then Y=Y-NY< N then return Y

このようにして得られるABR $^{-1}$ mod Nと、上述したよ Y=0

if  $Y \ge N$  then Y = Y - N

Y < N then return Y

うに予め求めておいたR<sup>2</sup> mod Nとの積で再びREDC を行うことにより、ABR<sup>-1</sup>mod Nを求めることができる。

【〇〇23】(REDCの単精度×単精度処理への拡張)アルゴリズム3では、多重精度のモンゴメリ乗算剰余を多重精度×単精度で実現可能としているが、この多重精度×単精度の計算部分をさらに単精度×単精度の計算を組み合わせて行えるよう拡張する。この場合、A×biの計算部分とm×Nの計算部分とが繰り返し計算をはいると、繰り返し計算制御によるロスが2倍になり、上述の場合と同様に2つの乗算を別々に繰り返し計算すると、繰り返し計算制御によるロスが2倍になってしまう。そこで、2つの乗算を同一の繰り返しループで行えるように拡張したアルゴリズム4を示す。

【0024】 (アルゴリズム4) REDCを単精度×単精度へ拡張したアルゴリズムREDC ( $A \times B$ ) は次に示すようになる。乗算する2数A, B, パラメータ N, 出力用変数Y, キャリー変数Cが何れもr 進数で、

 $A = (a_{g-1}, a_{g-2}, \dots, a_0)_r$ 

 $B = (b_{g-1}, b_{g-2}, \dots, b_0)_r$ 

 $N' = (n' g-1, n' g-2, \dots, n' 0)_r$ 

 $Y = (y_g, y_{g-1}, \dots, y_0)_r$ 

補正処理

 $C = (c1, c0)_{r}$ 

R = rg,

r = 2k

とあらわされ、 r 進 1 桁の一時変数tmp1, tmp2, tmp3, tmp4とする場合、次に示すi, j の繰り返し処理により A B R  $^{-1}mod$  N を単精度×単精度の計算で求めることができる。

[0025]

ように組み合わせて用いられる場合が多い。

【OO10】公開鍵暗号系の中で、現在最も有力なものが1977年にリヴェスト(Rivest)、シャミア(Shamir)及びエイドルマン(Adlman)の三人によって発明されたRSA暗号である。このRSA暗号の基本原理は次のようなものである。

【OO11】(RSAの基本アルゴリズム)暗号鍵(e,N)と対応する復号鍵(d,N)とにおいて、eとNとは公開鍵であり、dは秘密鍵である。平文をM、暗号文をCとすると、暗号化Eと復号Dとのアルゴリズムは次のようにあらわされる。

 $C = E (M) = M^e \mod N$ 

M = D (C) = Cd mod N

但し、d・e = 1 mod L C M { (p-1), (q-1)}

 $N = p \cdot q$ 

LCM:最小公倍数 (lowest common multiple) p. gは大きな素数

【〇〇12】通常、e. d. M. Nなどは1024ビット程度の大きな整数が用いられているので、高速指数計算法を使用しても1回のRSA演算で平均1500回程度の多重精度乗算と剰余算とを行わなければならない。特に剰余計算は、近似法、剰余テーブル方式、モンゴメリのアルゴリズム等、多くの高速化手法が提案されている。このような、RSA暗号に代表される公開鍵暗号系の多くで利用される、べき乗剰余アルゴリズムを高速に処理するためには、1回あたりの剰余アルゴリズムの高速化が要求される

【OO13】この剰余演算の高速化を実現する一方法であるモンゴメリのアルゴリズムについて説明する。

(モンゴメリのアルゴリズム) モンゴメリのアルゴリズムは、剰余の法N(N>1)と、剰余の法Nと互いに素である基数R(R>N)とを用いると、被剰余数 Tから TR- $^1$ mod Nの計算が基数 Rによる除算のみで行えることを利用して、Nによる除算を用いることなく剰余計算を行うアルゴリズムである。ここで、N、N′、R、R- $^1$ 及び Tは整数であり、被剰余数 Tは0  $\leq$  T < R  $\cdot$  N、R- $^1$ は剰余の法Nの上での基数 Rの逆数であり、R  $\cdot$  R  $\cdot$  R  $\cdot$  N・N′=1 (0  $\leq$  R- $^1$  < N、0  $\leq$  N′ < R)の関係を満たす。

【OO14】更に、この基数RC2のベキ乗数を使用した場合、基数Rによる除算をシフト操作に置き換えることができるため、 $T \rightarrow TR^{-1}$ mod Nの計算の高速処理が可能となる。次に、Tルゴリズム1として、 $T \rightarrow TR^{-1}$ mod NのTルゴリズムT において( $T + m \cdot N$ )/ Rは必ず割り切れることが証明されている。

【OO15】 (アルゴリズム1)  $T \rightarrow TR^{-1} mod NのアルゴリズムY=REDC (T) は次のようにあらわされる。$ 

 $M = (T \mod R) \cdot N' \mod R$   $Y = (T + M \cdot N) \nearrow R$ if  $Y \ge N$  then Y = Y - NY < N then return Y

【OO16】 1回のREDCでは、剰余Tmod Nではなく $TR^{-1}mod$  Nが求められるだけである。よって、剰余Tmod Nを求めるためには、次に示すようにREDC (T) と予め求めておいた $R^2$  mod Nとの積で、再びREDCを行えば良い。

REDC (REDC (T)  $\cdot$  (R<sup>2</sup> mod N)) = (TR<sup>-1</sup>mod N)  $\cdot$  (R<sup>2</sup> mod N)  $\cdot$  R<sup>-1</sup>mod N = TR<sup>-1</sup>  $\cdot$  R<sup>2</sup>  $\cdot$  R<sup>-1</sup>mod N

#### $= T \mod N$

このようにして、剰余 Tmod Nを求めることができる。 【OO17】(REDCの多重精度計算への拡張)次に、剰余の法Nまたは基数 Rが多倍長即ち多重精度である場合について、REDCのアルゴリズムを拡張する。 剰余の法N、基数 Rが多重精度である場合、REDCの (Tmod R)・N′及びM・Nの計算は、多重精度×多 重精度の処理となり、汎用の計算機では非常に大きな処理量と処理時間とが必要となる。そこで、この部分を多 重精度×単精度の処理で行えるように拡張したアルゴリズム2を示す。

【OO18】 (アルゴリズム2) REDCを多重精度へ拡張したアルゴリズムは次に示すようになる。被剰余数 T、パラメータ N′、出力用変数 Y が何れも r 進数で、 T =  $(t 2g-1, t 2g-2, \cdots, t 0)$  r 、 N′ =  $(n′g-1, n′g-2, \cdots, n′0)$  r 、 Y =  $(yg, yg-1, \cdots, y0)$  r 、 R = rg 、

r = 2k

とあらわされる場合、次に示す $j=0\sim g-1$ の繰り返し処理により $TR^{-1}$ modNを多里精度×単精度として求めることができる。ここで単精度とはr進数1析のこととし、同じ文字を使用した場合、基本的に大文字を多重精度、小文字を単精度、小文字の添字を多重精度での析の位置とする。

[0019] Y=T for j=0 to g-1  $m=y0 \cdot n' 0 \text{ mod } r$ Y=Y+m · N Y=Y/r

next

if Y≧N then Y=Y-N Y<N then return Y このようにして得られるTR<sup>-1</sup>mod Nと、上述したよう に予め求めておいたR<sup>2</sup> mod Nとの積で再びREDCを 行うことにより、TR<sup>-1</sup>mod Nを求めることができる。 【OO20】(REDCの多重精度乗算剰余への拡張) 次に、REDCのアルゴリズムを乗算剰余演算に拡張す 【請求項10】 暗号化/復号化のためのモンゴンメリ法による乗算剰余計算を行う装置において、乗算演算を行う第1積和手段と、モンゴンメリ剰余演算を行う第2積和手段とを備え、前記第1積和手段の出力を前記第2積和手段が演算を行う間、前記第1積和手段で次の回の演算を行うように、パイプライン処理すべく構成したことを特徴とするモンゴンメリ法による乗算剰余計算装置。

【請求項11】 前記第1積和手段及び第2積和手段にあって、各自身の上位出力を各自身の次の回のキャリア入力とするようにした請求項10記載のモンゴンメリ法による乗算剰余計算装置。

【請求項12】 前記第1積和手段及び第2積和手段に おける演算量が等しい請求項10記載のモンゴンメリ法 による乗算剰余計算装置。

【請求項13】 前記第1積和手段及び第2積和手段は、2つの k ビットの数を乗算する手段と、その乗算結果に2つの k ビットの数を加算する手段とを有する請求項10記載のモンゴンメリ法による乗算剰余計算装置。

#### 【発明の詳細な説明】

[0001]

【発明の属する技術分野】本発明は、例えば公開鍵暗号系のRSA暗号処理において、モンゴメリのアルゴリズム(Modulo Multiplication Without Trial Division、Peter L. Montgomery, Mathematics of Computation、Volume 44, Number 170, April 1985 pp. 519~528 参照)を用いて乗算剰余計算を高速に行う乗算剰余計算装置に関する。

#### [0002]

【従来の技術】近年におけるコンピュータネットワークの発達により、データベースを検索する機会、電子メール、電子ニュース等の電子化された情報をネットワークを経由して送受する機会が急速に増加してきている。 に、これらを利用して、オンラインショッピング等のサービスも提供されつつある。しかし、それに伴って、ネットワーク上の電子化されたデータを盗聴する、改竄する、他人になりすましてサービスを無償で受ける等の問題も指摘されている。特に無線を利用したネットワークにおいては、傍受が容易なためにこれらの問題を防止する対策が望まれている。

【0003】これらの問題に対して暗号技術を応用した暗号化電子メール 利用者認証システムが提案され、種々のネットワークにも導入されつつある。この意味でコンピュータネットワークにおいては暗号化が必須の技術であるといえる。このような暗号技術の中の一つにディジタル署名即ち認証に適した公開鍵暗号方式があるが、暗号化/復号に大量の処理が必要なために高速化が望まれており、様々な高速化アルゴリズムが発表されている。

【0004】暗号化方式は、大別すると秘密鍵暗号系と

公開鍵暗号系との二つに分類できる。秘密鍵暗号系は、 送信者と受信者とが同じ暗号鍵を持つことにより暗号通 信を行う方式である。即ち、秘密鍵暗号系では、あるメ ッセージを秘密の暗号鍵に基づいて暗号化して相手に送 り、受け手はこの暗号鍵を用いて暗号文を復号して元の メッセージに戻して情報を入手する。

【0005】公開鍵暗号系は、送信者が公開されている 受信者の公開鍵でメッセージを暗号化して送信し、受信 者が自分の秘密鍵でその暗号化メッセージを復号するこ とにより通信を行う方式である。即ち、公開鍵暗号系で は、公開鍵は暗号化のための鍵、秘密鍵は公開鍵により 暗号化された暗号を復号するための鍵であり、公開鍵で 暗号化した暗号は秘密鍵でのみ復号することができる。

【0006】秘密鍵暗号系では、個人が秘密に保管しなければならない鍵が通信相手の数だけ必要であり、必要な総鍵数はn人のネットワークの場合(n-1)/2個である。また、初めて通信する相手に対しては、何らかの方法で秘密鍵の配送が必要であるという欠点がある。この欠点を解消するために、大規模なネットワークでは鍵管理センタを設置し、センタとの間の秘密鍵のみを保管し、暗号通信を行う場合はセンタから送信相手との秘密鍵を得る方法が用いられる。この場合、秘密鍵の総数はn個となる。

【0007】一方、公開鍵暗号系では、個人が秘密に保管する鍵は自分の秘密鍵のみであり、必要な総秘密鍵数もn人のネットワークの場合n個である。また、初めて通信する相手に対しては、公開鍵の配送を行えば良く、鍵管理センタを設置して、ユーザの公開鍵をn個公開簿に登録し、センタから送信相手の公開鍵を得る方法が用いられる。この場合、センタは公開鍵の改竄を防ぐだけで、秘密に保管する必要がない。但し、公開鍵方式は秘密鍵方式に比べて鍵のビット数が大きいため保管に要するファイルサイズは大きくなる。

【0008】また、認証の場合、秘密鍵暗号系では、例えば送信するメッセージを秘密鍵で圧縮変換し、送信文に付加して送り、受信側では同様に圧縮変換して比較する方式がとられている。しかし、送受信が同じ鍵であるため、受信者は認証データを偽造することができる。これに対して、公開鍵暗号系では、秘密鍵で暗号化することができるのは本人だけであるという特徴を利用する。送信者はメッセージを圧縮変換して秘密鍵で暗号化し、送信文に付加して送り、受信者は送信者の公開鍵で付加されたデータを復号し、同様に圧縮変換したものと比較する方式がとられている。この場合、受信者は不正ができない。

【0009】このように認証系では公開鍵暗号系の技術は必要不可欠であるといえる。しかし、公開鍵暗号系には、暗号化/復号に大量の処理が必要であるという大きな欠点があるため、一般には処理が速い秘密鍵暗号系をメッセージの暗号化に、公開鍵暗号系は認証用にという

#### 【特許請求の範囲】

【請求項1】 モンゴメリのアルゴリズムを用いて乗算 剰余計算を行う装置において、

積和演算を行いその演算結果を上位kビットと下位kビ ットとに分けて出力する第1積和回路と、積和演算を行 いその演算結果を上位kビットと下位kビットとに分け て出力する第2積和回路と、加算演算を行いその演算結 果を上位1ビットと下位kビットとに分けて出力する加 算回路と、乗算される2数を保持する第1及び第2レジ スタと、前記第2積和回路の下位 k ビット出力を保持 し、前記第2積和回路のその次の回の下位 k ビット出力 を格納する第3レジスタと、前記加算回路の下位 k ビッ ト出力を保持し、前記加算回路のその次の回の下位kビ ット出力を格納する第4レジスタと、剰余の法を保持す る第5レジスタと、モンゴメリのアルゴリズムにおける パラメータの値を保持する第6レジスタと、前記加算回 路の上位1ビット出力を保持し、前記加算回路のその次 の回の上位1ビット出力を格納する第フレジスタとを備 ž.

前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第3レジスタに保持された数の所定ビットの値及び前記第4レジスタに保持された値を加算する演算を行い、

前記第2積和回路は、前記第5レジスタに保持された数の所定ビットの値と前記第6レジスタに保持された値とを乗算し、その乗算結果に前記第1積和回路の下位 k ビット出力を加算する演算を行い、

前記加算回路は、前記第1積和回路の上位 k ビット出力 と前記第2積和回路の上位 k ビット出力と前記第7レジ スタに保持された値とを加算する演算を行うように構成 したことを特徴とするモンゴメリ法による乗算剰余計算 装置。

【請求項2】 前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第3レジスタに保持された数の所定ビットの値を加算し、その加算結果に前記第4レジスタに保持された値を加算するように構成した請求項1記載のモンゴメリ法による乗算剰余計算装置。

【請求項3】 前記第1積和回路は、前記第1及び第2 レジスタに保持された2数の所定ビットの値を乗算し、 その乗算結果に前記第4レジスタに保持された値を加算 し、その加算結果に前記第3レジスタに保持された数の 所定ビットの値を加算するように構成した請求項1記載 のモンゴメリ法による乗算剰余計算装置。

【請求項4】 モンゴメリのアルゴリズムを用いて乗算 剰余計算を行う装置において、

積和演算を行いその演算結果を上位 k ビットと下位 k ビットとに分けて出力する第 1 積和回路と、積和演算を行いその演算結果を上位 k ビットと下位 k ビットとに分け

て出力する第2積和回路と、乗算される2数を保持する第1及び第2レジスタと、前記第2積和回路の下位 k ビット出力を保持し、前記第2積和回路のその次の回の下位 k ビット出力を格納する第3レジスタと、前記第1積和回路の上位 k ビット出力を保持し、前記第1積和回路のその次の回の上位 k ビット出力を格納する第3レジスタと、前記第2積和回路の上位 k ビット出力を保持し、前記第2積和回路の上位 k ビット出力を保持し、前記第2積和回路のその次の回の上位 k ビット出力を格納する第7レジスタとを備え、

前記第 1 積和回路は、前記第 1 及び第 2 レジスタに保持された 2 数の所定ビットの値を乗算し、その乗算結果に前記第 3 レジスタに保持された数の所定ビットの値及び前記第 4 レジスタに保持された値を加算する演算を行い、

前記第2積和回路は、前記第5レジスタに保持された数の所定ピットの値と前記第6レジスタに保持された値とを乗算し、その乗算結果に前記第1積和回路の下位 k ピット出力及び前記第7レジスタに保持された値を加算する演算を行うように構成したことを特徴とするモンゴメリ法による乗算剰余計算装置。

【請求項5】 前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第3レジスタに保持された数の所定ビットの値を加算し、その加算結果に前記第4レジスタに保持された値を加算するように構成した請求項4記載のモンゴメリ法による乗算剰余計算装置。

【請求項6】 前記第1積和回路は、前記第1及び第2レジスタに保持された2数の所定ビットの値を乗算し、その乗算結果に前記第4レジスタに保持された値を加算し、その加算結果に前記第3レジスタに保持された数の所定ビットの値を加算するように構成した請求項4記載のモンゴメリ法による乗算剰余計算装置。

【請求項7】 前記第2積和回路は、前記第5レジスタに保持された数の所定ビットの値と前記第6レジスタに保持された値とを乗算し、その乗算結果に前記第1積和回路の下位 k ビット出力を加算し、その加算結果に前記第7レジスタに保持された値を加算するように構成した請求項4記載のモンゴメリ法による乗算剰余計算装置。

【請求項8】 前記第2積和回路は、前記第5レジスタに保持された数の所定ビットの値と前記第6レジスタに保持された値とを乗算し、その乗算結果に前記第7レジスタに保持された値を加算し、その加算結果に前記第1積和回路の下位 k ビット出力を加算するように構成した請求項4記載のモンゴメリ法による乗算剰余計算装置。

【請求項9】 前記第2積和回路による演算中に、前記第1積和回路によりその次の回の演算を行うように構成した請求項4~8の何れかに記載のモンゴメリ法による乗算剰余計算装置。

#### (19)日本国特許庁 (JP)

# (12) 公開特許公報(A)

# (11)特許出願公開番号

# 特開平11-212456

(43)公開日 平成11年(1999)8月6日

|                           |                               | •                  |        |                     |                     |          |    |          |
|---------------------------|-------------------------------|--------------------|--------|---------------------|---------------------|----------|----|----------|
| (51) Int.Cl. <sup>6</sup> |                               | 識別記号               |        | FΙ                  |                     |          |    |          |
| G09C                      | 1/00                          | 6 5 0              |        | G09C                | 1/00                | 650      | A  |          |
| G06F                      | 7/72                          |                    |        | G06F                | 7/72                |          |    | •        |
| H04L                      | 9/30                          |                    |        | H 0 4 L             | 9/00                | 663      | В  |          |
|                           |                               | • •                |        |                     |                     |          |    |          |
|                           | -                             |                    |        | 審査請求                | 未請求                 | 請求項の数13  | OL | (全 16 頁) |
| (21)出願番号                  | 出願番号 特願平10-14681 (71)出願人 (71) |                    | 000005 | 000005223           |                     |          |    |          |
|                           |                               | ·                  |        |                     | 富士通                 | 株式会社     |    |          |
| (22)出顧日                   |                               | 平成10年(1998) 1 月27日 | -      | 神奈川県川崎市中原区上小田中4丁目1番 |                     |          |    |          |
|                           |                               |                    |        |                     | 1号                  |          |    |          |
|                           |                               |                    | .      | (72)発明者             | 武仲                  | 正彦       |    |          |
|                           |                               |                    |        | 神奈川県川崎市中原区上小田中4丁目1番 |                     |          |    |          |
|                           |                               |                    | i      |                     | 1号                  | 富士通株式会社内 | Ż. |          |
|                           |                               |                    |        | (72)発明者             | 伊藤                  | 孝一       |    |          |
|                           |                               | •                  |        | 神奈川県川崎市中原区上小田中4     |                     | 94丁目1番   |    |          |
|                           |                               |                    |        |                     |                     | 富士通株式会社内 | 3  | ٠.       |
|                           |                               | :                  | ,      | (72)発明者             | 鳥居                  | 直哉       |    |          |
|                           |                               |                    |        |                     | 神奈川県川崎市中原区上小田中4丁目1番 |          |    |          |
|                           |                               |                    |        |                     | 1号                  | 富士通株式会社内 | 3  |          |
|                           |                               |                    |        | (74)代理人             | 弁理士                 | 河野 登夫    |    |          |

# (54) 【発明の名称】 モンゴメリ法による乗算剰余計算装置

# (57)【要約】

【課題】 積和回路の構成を単純化することができ、また、パイプライン処理が可能になる、モンゴメリのアルゴリズムを用いて乗算剰余計算を高速に行う計算装置を提供する。

【解決手段】 積和回路21は、Aレジスタ3及びBレジスタ4の出力を乗算し、その乗算結果にc3 レジスタ26の出力及びYレジスタ5の出力を加算する。積和回路22は、Nレジスタ7及びmレジスタ8の出力を乗算し、その乗算結果にc4 レジスタ29の出力及び積和回路21の出力を加算する。2つの積和回路21、22におけるキャリー用のレジスタ26、29を各別に設けて自身の積和回路にキャリーを戻す構成とする。全ての処理を処理単位(kビット)内で行う。積和回路22の動作中に、積和回路21の次回の動作が可能である。

